标准的要求部分

5.1.2标准的要求部分

ISO/IEC 27001：2005标准正文的第4章、第5章、第6章、第7章和第8章定义了一组信息安全要求。由于在原版本（英文）ISO/IEC 27001：2005标准中，这些信息安全要求都通过使用一个英语助动词“shall”引出，因此，又称为“shall”要求。这些要求是“强制性要求”和基于过程的要求。

组织要按照这些要求和其业务的需要建立其ISMS。任何审核（包括第一方、第二方和第三方）也要按照这些要求，审核组织的ISMS。特别是第三方（认证机构），在审核ISMS和确定可否颁发证书时，ISO/IEC 27001：2005标准中的“shall”要求应成为主要的审核准则。本章所关注的正是这些要求的符合性审核。

ISO/IEC 27001：2005标准要求组织使用“PDCA”过程模式开发其ISMS（见“4.1 总要求”）。而ISO/IEC 27001：2005标准本身也是按照“PDCA”过程模式组织其内容（第4～8章）：

1)第4章“信息安全管理体系(ISMS)”

主要内容是对组织如何建立信息安全管理体系( ISMS)和相关活动的要求。显然，这些要求属于“P”（Plan，计划）阶段的要求，即组织要按照这些要求，建成其ISMS。

2)第5章“管理职责”

主要内容是要求管理者做出管理承诺、提供足够的资源和人员培训等。这些要求是对ISMS实施与运行方面的要求，属于“D”（Do，实施与运行）阶段的要求，即组织要按照这些要求，实施与运行其ISMS。

3)第6章“内部ISMS审核”和第7章“ISMS的管理评审”

主要内容是对ISMS执行检查方面的要求，属于“C”（Check，检查）阶段的要求， 即组织要按照这些要求，对其ISMS执行监视和评审。

4)第8章“ISMS改进”

主要内容是对组织如何改进其ISMS方面的要求，属于“A”（Act，行动）阶段的要求，即组织要按照这些要求，采取行动，改进其ISMS。